Beim freien Datenbankmanagementsystem PostgreSQL käme es aufgrund eines standardmäßig aktiven "Features" offenbar zu Problemen bei der Rechtevergabe. Über die Schwachstelle (CVE-2019-9193) könne ein Angreifer unter gewissen Umständen Schadcode mit weitreichenden Systemrechten ausführen. Das Risikio wird vom CERT-Bund des BSI mit "hoch" eingestuft. Jedoch schreibt ein Autor in einem Beitrag aus dem PostgreSQL-Umfeld, dass es sich dabei um keine Schwachstelle handele und das Feature wie gewollt funktioniere.

In einem bestimmten Rahmen unterscheide PostgreSQL nicht zwischen den Rechten eines Superusers innerhalb der Datenbank und dem beim Betriebssystem angemeldeten Nutzer. Ein lokaler Angreifer könne so beispielsweise unter macOS Code mit Admin-Rechten ausführen.

Dieses läge an der werksseitig eingeschalteten Funktion COPY TO/FROM PROGRAM. Einem Superuser und allen Nutzern in der pg_read_server_files-Gruppe sei es so erlaubt, beliebigen Code im Kontext des Betriebssystems auszuführen. Ein Sicherheitsforscher warnt davor in einem Beitrag. Es lassen sich dort weitere Details zur möglichen Ausnutzung finden.

Betroffen seien davon die Versionen 9.3 bis einschließlich 11.2. Bislang ist es unklar, ob es ein Sicherheitsupdate geben wird. Die Funktion kann aus Sicherheitsgründen, von jenen die das Datenbanksystem nutzen, deaktiviert werden.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE